У меня давно собран материал для книги по информационной безопасности, все с конкретными примерами. Но руки не доходили никак засесть и начать писать. Это эссе (перед вами только начало, первые пять страничек из пятнадцати написанных), родилось после обсуждения вопросов безопасности с приятным собеседником. В отличие от фокусников, я никогда не использую одни и те же трюки два раза, поэтому не вижу проблемы в том, чтобы рассказать о многих подводных камнях в информационной безопасности для компаний. Там будет еще одно предисловие, но так получилось. И еще один вопрос к читателям никак не связанным с подобными вещами, обычным людям. Вам подобные тексты интересны, кухня такого рода?

Идея поднять тематику информационной безопасности созрела у меня давно, а толчком послужило обсуждение «утечки» информации, с одним из людей, отвечающих за ее сохранность в крупной мировой компании. Так сложились обстоятельства, что работа журналиста, аналитика, невозможна без глубокого понимания процессов происходящих внутри каждой компании, не только внешних событий, но и внутренней кухни. Журналист, это всегда человек, который находится по другую сторону баррикад, как правило, не несет никаких обязательств перед компаниями. И поэтому, вся информация, которую он находит, может стать доступной публично. Пока журналисты еще не в полной мере освоили существующий парк технических решений, для сбора и обработки доступной в свободных источниках информации, но это вопрос времени. Наверное, поэтому компаниям необходимо приготовиться к утечкам информации и тому, что они начнут приобретать массовый характер. В этом эссе, которое позднее мы переведем на английский для обсуждения с участниками этого рынка, как журналистами, так и «защищающейся» стороной, я затрону только некоторые темы. Можете считать его вводной частью, расставляющей акценты, в зависимости от того, будет ли обсуждение активным или нет, появятся другие очерки, а возможно их не будет вовсе. Пока для меня это тайна, также как и для вас. Но давайте отойдем от предисловия и перейдем к сути вопроса.

Ваш добрый, любимый дом

У вас отличный огромный дом, в каждой комнате полно безделиц, которые вы мастерите, чтобы поразить мир на очередной выставке, в разных уголках света. На окнах занавески, чтобы любопытные прохожие не смогли раньше времени увидеть ваши творения, не заметили процесс волшебства, не поняли ваши секреты. Но с каждым годом интерес к вашим работам становится все меньше и меньше, а посетители выставок уже знают, о чем вы будете говорить, что показывать. Произошло волшебство, которое вы не заметили, неожиданно стены вашего дома стали прозрачными. Теперь вы живете в стеклянном доме, сами того не замечая. Никаких секретов от внешнего мира, заглянуть к вам может любой желающий, для этого ему нужно только желание. Огромное количество компаний сегодня живет в таких стеклянных домах, не понимая этого и не осознавая, что стены исчезли. Кто-то уходит в задние комнаты, надеясь скрыться за мебелью, кто-то выключает свет и делает все в темноте, кто-то строит новые стены. В чем причина таких изменений?

Не нужно ходить далеко, чтобы понять, что информация является основой сети, сами компании пропагандируют ее, загляните в пресс-релизы, и вы увидите, как они стремятся соответствовать духу времени. Не понимая новой среды, не изменяясь вслед за ней, живут по привычке, забывая о прозрачности стен. Распаковывают свои посылки у всех на виду, рассаживают гостей вокруг стола и раскладывают сладости по тарелкам. Отчего такая слепота?

Возможно, это сила привычек и веры в незыблемость многих принципов. Вопрос информационной безопасности, болезнен для всех, поэтому от аллегорий, я хочу перейти к конкретике, но опуская имена компаний, людей, но в ряде случаев называя их, чтобы не терять нить повествования.

Правила, которые не работают

Основной проблемой, с которой столкнулись компании сегодня, стал интернет, развитие мобильных устройств, легкость, с которой любой человек способен разместить, любую информацию, скорость ее копирования и практическая невозможность ее удаления. Фактически, кошмарный сон любой службы безопасности. Но, к сожалению, отделы безопасности в каждой компании живут своей, обособленной жизнью. Инструкции по безопасности для различных отделов компании, сотрудников, сама политика безопасности, обновляется крайне редко. Примерно раз в десятилетие. Компании не имеют средств на быструю, адекватную реакцию на возникающие проблемы. Хочу сразу оговориться, что речь идет не о технических средствах защиты, будь то шифрование трафика, VPN, защита памяти устройств и тому подобное, с этим в компаниях все в порядке. Технические средства обновляются одновременно с возникновением угроз, персонал обучается работе с ними и на первый взгляд, защита информации выглядит отлично. Но политика безопасности принятая многие годы назад, фактически является стратегией, того как компания собирается скрывать свои секреты.

В рамках моей работы, мне приходилось общаться, а также консультировать около десятка компаний, которым поверьте, есть что скрывать. Иногда это были дружеские встречи и беседы за чашкой кофе или за обедом, иногда полноценные контракты на оказание услуг. Коронным вопросом в таких разговорах, у меня был следующий, — «Какой план действий у вас, на случай, когда ваша информация о продукте, услуге, чем угодно, окажется общедоступной?».

Только в одном случае, мне удалось получить квалифицированный, сжатый ответ, описывающий тактику решения проблем при таких утечках информации. Во всех остальных случаях политика безопасности компании, изначально предусматривает действия, но это пассивная оборона. Никто не комментирует происходящего, сотрудники компании не могут обсуждать слухи. Одновременно с этим компания пытается найти источник утечки, использует для этого службу безопасности. Комплекс мер, применяющийся для этого, разнится у каждой компании, но как показывает опыт последних лет, оказывается, почти всегда бесполезен. Почему тогда компании придерживаются тех же инструкций и мер?

Причина в непонимании среды и степени угрозы, с которой сталкивается компания. Для крупных, транснациональных компаний, интернет это черная коробка, из которой надо ждать либо неприятности, либо напротив оглушительного обсуждения продуктов, как результата их продаж. Процессы, происходящие внутри сети, взаимодействия между людьми, инструменты доступные журналистам, все это остается тайной за семью печатями. Производители пытаются добиться желаемого результата, а именно активизировать этот черный ящик на обсуждение своих продуктов, применяя различные схемы, методики. Но выглядит это как скармливание этому черному ящику разных идей, с ожиданием результата на выходе. Цепочка внутри черного ящика непонятна и оттого пугает.

Модной тенденцией стало отпускать своих сотрудников в социальные сети, чтобы они пропагандировали ценности компании, свою работу, но при этом не раскрывали никакой информации о конкретных устройствах, сроках. Ничего не изменилось по сравнению с прошлым веком, это переложение старых идей безопасности информации на новую среду. Но, в этой среде появились новые инструменты, возможности и эти меры недостаточны, либо не работают.

Чтобы не быть голословным, позволю себе привести пример с нашей публикацией первого взгляда на Nokia N900 за неделю до официального анонса устройства. Утечка информации вызвала внутри компании различные обсуждения, но политика безопасности не сработала и речь идет не о самой утечке, ее компания не могла предотвратить. Здесь стоит говорить о тактике поведения в данной ситуации, минимизации последствий данной утечки.

Позвольте, перед тем как перейти к конкретике, рассказать вам историю становления полупроводникового бизнеса Samsung. В 80-е годы прошлого века, Samsung не имел технологий по производству чипов памяти, разработка чипа 256К была под угрозой. Для Samsung Electronics подобное положение дел было недопустимым, а конкуренты не хотели передавать технологии, объяснять, как они работают, как устроено производство. Путь был обнаружен после бесполезных попыток договориться с другими компаниями официально. Так, был найден корейский инженер, доктор Yim-sang Lee, работавший на Sharp, GE, IBM. Ему не предложили перейти на работу в Samsung, всего лишь попросили проконсультировать компанию. В свою очередь он привел в Samsung доктора Sang-joon Lee, отвечавшего в то время за разработку технологий производства полупроводников в Control data and Honeywell. Доктор Il-bok Lee, участвовавший в разработке 64K DRAM в Intel, а также National Semiconductor. Доктора Jong-gil Lee, эксперта Intersil, а также Synertek по увеличению производительности при производстве полупроводников. Из Western Digital и Intel, был привлечен доктор Yong-eui Park, дизайнер микросхем памяти. Этих инженеров привлекли к работе официально, предложив им зарплату в 4-5 раз большую, чем получал президент компании[i]. В рамках предыдущих контрактов, эти инженеры могли работать на Samsung, чем и воспользовалась компания. Используя одного соотечественника, компания выстроила цепочку, с помощью которой собрала людей, которые и поделились своими знаниями, технологиями, создали в итоге продукт. Это было начало пути полупроводникового бизнеса от Samsung. Ранее компания привлекала для неофициальных консультаций выходного дня инженеров японских компаний, они работали неофициально и прилетали в Корею на выходные.

Приведенная история важна нам для того, чтобы понять, что ценность представляет не только информация о конкретных технологиях, продуктах, услугах, но и носителях этой информации. Для решения своей задачи, Samsung нашел соотечественника и использовал его как интерфейс для поиска других инженеров, в рамках диаспоры работающей вне родной страны, имеющей внутри дружеские и деловые контакты. В те годы, представить, что инженер западной компании, с опытом работы, хорошими знаниями, отправится на работу в Корею, было невозможно. Поэтому в Samsung использовали единственный доступный для них способ.

Теперь давайте представим на минутку, что мне понадобился список людей, работающих над проектом Maemo для Nokia и связанных с ним. Представляет ли такой список для меня как журналиста/аналитика интерес? Безусловно. Зная, имена людей, можно найти информацию об их предыдущих местах работы, опыте, образовании и так далее. То есть очертить круг интересов Nokia в области Maemo и основные направления разработки. Ключевые, публичные фигуры в мире Maemo известны, их презентации легко найти в сети. Но что делать с теми, кто и двигает эту махину, кто составляет основную движущую силу. Попросить такой список в Nokia? Думаю, что эта просьба вызовет смех.

Поэтому одновременно с публикацией первого взгляда на Nokia N900, я впервые стал писать в своем твиттере на английском языке, это были новости о Maemo. Первые записи стали появляться до материала, и они интриговали, мне понадобилась программа для снятия скриншотов. Признаюсь честно, что это была наживка для привлечения внимания и только. Как получать скриншоты на этом устройстве мне было известно задолго до этого. Ловля на живца.

Мои читатели порекомендовали мне различные способы, несколько человек меня добавили в свой список для чтения. Но пока основная задача не была решена, люди, которые интересовали меня не пришли. Потом был анонс материала в твитере, публикация ссылок на него и небольшие кусочки информации, которые могли заинтересовать моих коллег по рынку, сотрудников Nokia (Maemo, PR, безопасность, маркетинг). В течение дня, после публикации, у меня прибавилось число follower’ов, оно выросло примерно на 500 человек.

В течение нескольких дней, нам удалось идентифицировать около 144 сотрудников Nokia, в том числе тех, кто занимается Maemo и имеет собственные аккаунты в твитере. Технически это было реализовано крайне просто. Во-первых, были всплески чтения твитера и добавления в список для чтения. Они прекрасно прослеживаются и относятся к двум письмам, которые циркулировали внутри Nokia (PR, Maemo). Фактически, эти письма стали своего рода спусковыми крючками, когда сотрудники компании пришли, чтобы прочитать, что же такое написано и одновременно с этим ставили для себя закладку на будущее. В том сервисе, который их устраивал, которым они уже пользовались. Твитер пропагандировала сама компания, поощряла его использование. Работала с черным ящиком, действие которого не понимала. Создав задачу общаться для своих сотрудников, если хотите, сделав твитер модным внутри Nokia, не предусмотрела возможные изъяны этого подхода. Но пойдем дальше.

Во-вторых, не имея доступа к IP-адресам обращений к твитеру, наша головоломка немного усложнилась. На сервере, где были размещены статьи, мы видим каждое обращение, адрес и параметры устройства. Специально для данного случая, мы анализировали весь поток информации. В реальном режиме времени, мы могли видеть, как много людей пришло из Nokia. Мой вывод о нескольких письмах и зиждется на той активности, что проявили сотрудники Nokia. Это было две волны посещений, каждая основана на неком событии, письме содержащем ссылку на наш ресурс. Учитывая, что технические средства защиты у компании отличны, мы видели только адреса шлюзов, а не конкретные машины. Но и этого было достаточно. Не буду вдаваться в подробности, раскрывать все небольшие трюки, для описываемой ситуации они не так важны. Главное, что наложив потом таблицу с посещениями статьи, на подписку на мой твитер, мы получили ровно те же две группы людей. Определить, кто из них относится к каким подразделениям компании, оставалось делом техники. Было достаточно прочитать их записи в твитере, чтобы понять, кто и за что отвечает.  

Нашу работу крайне облегчили люди, которые указывали свои реальные данные, имя и фамилию. Даже не применяя перекрестный анализ, только по финским именам можно было бы догадаться, откуда пришли все эти люди. В последующие несколько недель, наш партнер в одной из стран с весьма мягким законодательством, точнее отсутствующим вовсе в области защиты персональных данных, обрабатывал все результаты. В итоге мы получили базу данных, по сотрудникам компании участвующим в проектах, все значимые отзывы, которые они делали в сети, наработали огромный объем различной информации.

Используя исключительно открытые источники, публично доступные инструменты, нам удалось получить информацию, которую невозможно достать каким-либо образом. Какую ценность представляет данная информация? Огромную. Зная отрасль, тенденции в ней, не представляет никакого труда, построить прогноз на последующие полтора года о происходящем в мире Maemo. Для получения аналогичного объема информации по старинке, нам пришлось бы найти инсайдеров в компании, каким-то образом вынудить их поделиться информацией, что представляет собой наказуемое деяние, нарушает закон, а также просто некрасиво. При наличии публичных, доступных, бесплатных инструментов, надобность в краже со взломом просто отпадает. Информация лежит в свободном доступе, нам остается только собрать эти золотые крупинки, просеять через сито и получить золотое руно.

Как вы считаете, сработала политика безопасности Nokia в этой ситуации или нет? Ответ очевиден, компания не понимала степени угрозы, возможности данной угрозы и не была к ней готова. Думаю, что до публикации этого эссе, компания даже не задумывалась о потенциальной возможности таких «утечек». Какой вывод компания может сделать из этого урока? Можно повально запретить использование данной услуги, что принесет также дополнительную информацию. Неактивность множества аккаунтов с определенного времени, либо неактивность в определенные рабочие часы и так далее. Пора понять, что в цифровом, информационном мире, любое действие оставляет свой след, не всегда воздействует на среду напрямую, зачастую косвенно. Методики сбора такой косвенной информации были разработаны еще в 30-е годы прошлого века и состоят на вооружение разведок большинства крупных стран. В цифровой среде, надо было только адаптировать давно известные, существующие методики. И, безусловно, приложить знания тематики, тенденций, чтобы суметь связать воедино информацию. Без этого завершающего штриха, вся информация так и остается сырой, необработанной породой и не представляет ценности.

Надеюсь, вам понравилось, и данное эссе вызовет обсуждение вопросов безопасности в приложение к современному миру. Признаюсь честно, что эссе намного больше, публикую первую часть для затравки и того, чтобы оценить реакцию. Для меня пока непонятно, как компании будут реагировать на подобное, будут ли даже анонимно обсуждать эти вопросы. Проблема острая, болезненная. Первая реакция будет наверняка резкой, но без обсуждения этих тем, интернет для вас так и останется черным кубиком, в который надо что-то засыпать, чтобы что-то получить на выходе, с всегда непредсказуемым результатом. Надеюсь, здравым людям хватит информации, чтобы изменить хотя бы кусочек профиля безопасности своих компаний. Жду ваших комментариев.

 




[i] Sony vs Samsung, page 35